Juniper SRX防火墙配置手册.docx
- 文档编号:12056320
- 上传时间:2023-04-16
- 格式:DOCX
- 页数:14
- 大小:93.97KB
Juniper SRX防火墙配置手册.docx
《Juniper SRX防火墙配置手册.docx》由会员分享,可在线阅读,更多相关《Juniper SRX防火墙配置手册.docx(14页珍藏版)》请在冰豆网上搜索。
JuniperSRX防火墙配置手册
JuniperSRX防火墙简明配置手册
JuniperNetworks,Inc.
北京市东城区东长安街1号东方经贸城西三办公室15层1508室
邮编:
100738
电话:
65288800
目录
一、JUNOS操作系统介绍3
1.1层次化配置结构3
1.2JunOS配置管理4
1.3SRX主要配置内容4
二、SRX防火墙配置对照说明5
2.1初始安装5
2.1.1登陆5
2.1.2设置root用户口令5
2.1.3设置远程登陆管理用户5
2.1.4远程管理SRX相关配置6
2.2Policy6
2.3NAT7
2.3.1InterfacebasedNAT8
2.3.2PoolbasedSourceNAT8
2.3.3PoolbasedestinationNAT9
2.3.4PoolbaseStaticNAT10
2.4IPSECVPN11
2.5ApplicationandALG12
2.6JSRP12
三、SRX防火墙常规操作与维护15
3.1设备关机15
3.2设备重启15
3.3操作系统升级15
3.4密码恢复16
3.5常用监控维护命令16
JuniperSRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。
目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。
JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。
基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
一、JUNOS操作系统介绍
1.1层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。
JUNOSCLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。
在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd命令),exit命令退回上一级,top命令回到根级。
1.2JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Activeconfig)。
另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(CandidateConfig),在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置(Activeconfig)。
此外可通过执行show|compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通过执行saveconfigname.conf手动保存当前配置,并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。
执行loadfactory-default/commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效,并可通过执行activatesecuritynat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如deletesecuritynat和editsecuritynat/delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:
主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:
接口相关配置内容。
Security:
是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:
自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:
配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置对照说明
2.1初始安装
2.1.1登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空
login:
root
Password:
---JUNOS9.5R1.8built2009-07-1615:
04:
30UTC
root%cli/***进入操作模式***/
root>
root>configure
Enteringconfigurationmode/***进入配置模式***/
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
setsystemroot-authenticationencrypted-password
密码将以密文方式显示
"$1$zekAgXny$uEwStukxGz1O5Qp87ucFt."
注意:
强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:
root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.3设置远程登陆管理用户
root#setsystemloginuserlabuid2000
setsystemloginuserlabclasssuper-user
setsystemloginuserlabauthenticationencrypted-password
root#newpassword:
lab123
root#retypenewpassword:
lab123
注:
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4远程管理SRX相关配置
runsetdateYYYYMMDDhhmm.ss /***设置系统时钟***/
setsystemtime-zoneAsia/Shanghai /***设置时区为上海***/
setsystemhost-nameSRX3400-A /***设置主机名***/
setsystemname-server1.1.1.1 /***设置DNS服务器***/
setsystemservicesftp
setsystemservicestelnet
setsystemservicesweb-managementhttp
/***在系统级开启ftp/telnet/http远程接入管理服务***/
2.2Policy
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。
Policy需要手动配置policyname,policyname可以是字符串,也可以是数字(与ScreenOS的policyID类似,只不过需要手工指定)。
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustmatchsource-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustmatchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustmatchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustthenpermit
2.3NAT
SRXNAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRXNAT和Policy执行先后顺序为:
目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:
Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被SourceNAT取代;基于Policy的目的地址转换及VIP被DestinationNAT取代。
ScreenOS中基于Untrustzone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中TrustZone接口没有NAT模式概念),需要手工配置。
类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,
此外,SRX还多了一个proxy-arp概念,如果定义的IPPool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IPPool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。
下面是配置举例及相关说明:
2.3.1PoolbaseStaticNAT
NAT:
setsecuritynatsourcerule-settrust-to-untrustfromzonetrust
setsecuritynatsourcerule-settrust-to-untrusttozoneuntrust
setsecuritynatsourcerule-settrust-to-untrustrulesource-nat-rulematchsource-address0.0.0.0/0
setsecuritynatsourcerule-settrust-to-untrustrulesource-nat-rulethensource-natinterface
Policy:
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustmatchsource-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustmatchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustmatchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-to-untrustthenpermit
2.4IPSECVPN
SRXIPSECVPN支持Site-to-SiteVPN和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-siteVPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。
SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。
SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式IPSEC-VPN方式配置:
setsecurityikeproposalike-prop1authentication-methodpre-shared-keys
setsecurityikeproposalike-prop1dh-groupgroup2
setsecurityikeproposalike-prop1authentication-algorithmmd5
setsecurityikeproposalike-prop1encryption-algorithmdes-cbc
setsecurityikeproposalike-prop1lifetime-seconds86400
setsecurityipsecpolicyipsec-dyn-vpn-policyperfect-forward-secrecykeysgroup2
setsecurityipsecpolicyipsec-dyn-vpn-policyproposal-setcompatible
2.5HA模式
描述本项目中Juniper防火墙HA特有模式
Junos操作系统服务冗余协议(JSRP)是SRX系列的一个核心特性。
利用JSRP,一对SRX系统能够轻松集成到一个高可用性网络架构,并在系统和相邻网络交换机之间提供冗余的物理连接。
通过链接冗余,瞻博网络可以解决许多常见的系统故障,例如物理端口恶化或电缆松脱,从而保证连接的可用性,而不需要对整个系统进行故障切换。
这与路由永续性协议典型的主用/备用特点是一致的。
当把SRX系列业务网关配置为一对高可用性的主用/主用网关时,会自动对流量和配置进行镜像,从而在发生故障时保持活跃的防火墙和VPN会话。
此时,分支办事处SRX系列产品可同步配置和运行时信息。
结果是,在故障切换期间,下列信息的同步是共享的:
连接/会话状态和流量信息、IPSec安全关联、网络地址转换(NAT)流量、地址薄信息、配置变更等。
与典型的路由器主用/备用永续性协议(如虚拟路由器冗余协议(VRRP))相反的是,如果发生故障切换,全部动态流和会话信息都会丢失,必须重建。
部分或全部网络会话必须重启,这取决于链接或节点的收敛时间。
通过保持状态,不仅可保持会话,而且安全性也毫发无损。
在不稳定网络中,这种主用/主用配置还能够减轻影响会话性能的链路摆动。
lab@Juniper>showchassisclusterstatus
ClusterID:
1
NodePriorityStatusPreemptManualfailover
Redundancygroup:
0,Failovercount:
1
node0200primarynono
node1100secondarynono
Redundancygroup:
1,Failovercount:
1
node0200primaryyesno
node1100secondaryyesno
三、SRX防火墙常规操作与维护
3.1设备关机
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1.管理终端连接SRXconsole口。
2.使用具有足够权限的用户名和密码登陆CLI命令行界面。
3.在提示符下输入下面的命令:
user@host>requestsystemhalt
…
Theoperatingsystemhashalted.
Pleasepressanykeytoreboot(除非需要重启设备,此时不要敲任何键,否则设备将进行重启)
4.等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模块电源。
3.2设备重启
SRX重启必须按照下面的步骤进行操作:
1.管理终端连接SRXconsole口。
2.使用具有足够权限的用户名和密码登陆CLI命令行界面。
3.在提示符下输入下面的命令:
user@host>requestsystemreboot
4.等待console设备的输出,操作系统已经重新启动。
3.3操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作:
1.管理终端连接SRXconsole口,便于升级过程中查看设备重启和软件加载状态。
2.SRX上开启FTP服务,并使用具有超级用户权限的非root用户通过FTP客户端将下载的升级软件介质上传到SRX上。
3.升级前,执行下面的命令备份旧的软件及设定:
user@host>requestsystemsnapshot
4.加载新的SRX软件:
user@host>requestsystemsoftwareaddvalidatefilename.tgzreboot
5.软件加载成功后,SRX将自动重启,重启完成后检查系统当前软件版本号:
user@host>showsystemsoftware
3.4密码恢复
SRXRoot密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1.Console口连接SRX,然后重启SRX。
2.在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后再进入单用户状态,并输入:
boot-s
Loading/boot/defaults/loader.conf
/kerneldata=……syms=[……]
Hit[Enter]tobootimmediately,orspacebarforcommandprompt.
loader>
loader>boot-s
3.执行密码恢复:
在以下提示文字后输入recovery,设备将自动进行重启
Enterfullpathnameofshellor'recovery'forrootpasswordrecoveryorRETURNfor/bin/sh:
recovery
4.进入配置模式,删除root密码,并重现设置root密码:
user@host>configure
Enteringconfigurationmode
user@host#deletesystemroot-authentication
user@host#setsystemroot-authenticationplain-text-password
user@host#Newpassword:
user@host#Retypenewpassword:
user@host#commit
commitcomplete
3.5常用监控维护命令
下列操作命令在操作模式下使用,或在配置模式下runshow…
●Showsystemsoftware查看当前软件版本号
●showsystemuptime查看系统启动时间
●Showchassisharedware查看硬件板卡及序列号
●showchassisenvironment查看硬件板卡当前状态
●showchassisrouting-engine查看主控板(RE)资源使用及状态
●showroute查看路由表
●showarp查看ARP表
●showlogmessages查看系统日志
●showinterfaceterse查看所有接口运行状态
●showinterfacege-x/y/zdetail查看接口运行细节信息
●
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper SRX防火墙配置手册 SRX 防火墙 配置 手册